sí que se pueden hacer modificaciones en la base de datos. la técnica se llama sql injection. también hay otra más elaborada llamada cross-scripting

aquí te dejo un enlace para que veas más o menos lo que puedes hacer:

http://www.programacion.com/asp/articulo/sqlinjection/

y, ya sabes: en el Dios Google se encuentra todo, por si quieres seguir leyendo.